Автор створено

Для качественной и надежной защиты компьютера от вирусов нужен мощный антивирусный комбайн. Но иногда и этого оказывается мало. Обычно, в большинстве случаев все заражения компьютера и связанные с этим неприятности происходят по вине самого пользователя. А это — кража личной информации (номеров банковских карточек, паролей и др.), удаление важных данных, а также шифрование информации с последующим вымогательством денег за ее расшифровку. Это так называемые программы-вымогатели. И все зачастую слышат из средств массовой информации то об одной такой программе, то о другой. А некоторые обо всем этом узнают на собственном горьком опыте. В большинстве случаев после оплаты счета злоумышленнику вы не получите свои данные взамен. Поэтому о безопасности нужно заботиться заранее. Всегда следует устанавливать обновления операционной системы и антивирусного обеспечения, не открывать подозрительные письма в электронной почте, не кликать по неизвестным ссылкам, которые можно увидеть в письмах или в сообщениях программ для общения (Viber, Skype и др.), Не переходить на сайты с сомнительной репутацией.   

Не менее важным наряду с антивирусной защитой будет резервное копирование данных. Можно воспользоваться встроенной в Windows функцией, но на мой взгляд лучше всего будет воспользоваться более надежными решениями. Такими решениями станут программы вроде Acronis True Image, Paragon Drive Backup, Aomei Backupper, R-Drive Image и другие. Среди программного обеспечения такого рода можно найти и бесплатные версии и профессиональные со сравнительно большим функционалом. 

Современный антивирусный сканер хотя и обеспечивает защиту, однако для защиты от программ-вымогателей нужно дополнительно установить одну из специальных утилит. Данные утилиты исправят последствия деятельности вредоносных программ (кроме расшифровки файлов). К таким относятся: RansomFree, Malwarebytes Anti-Ransomware, CryptoPrevent. Они помогут удалить такие программы-вымогатели как WannaCry, Cryptolocker, Locky и др.

Чтобы узнать, какой вирус-вымогатель заразил вашу систему нужно запустить бесплатное веб-приложение ID Ransomware. Для идентификации вируса нужно загрузить ReadMe файл с требованием вируса или зараженный файл. Узнать название трояна достаточно важно, поскольку идентифицировав нарушителя можно точнее составить план необходимых для нейтрализации действий.

Такая программа как Trend Micro Anti Ransomware специализируется на удалении программ-вымогателей, блокирующих рабочий стол.

Если вредоносная программа, которая проникла на ваш компьютер себя как-то уже проявила и вызвала у вас подозрение, то необходимо быстро выключить ПК и создать загрузочный диск (используя незараженный компьютер) с антивирусным программным обеспечением. Такие загрузочные диски (в виде ISO образов) предлагают практически все антивирусные продукты. Записать такой образ на диск или флешку и сделать их загрузочными помогут следующие статьи: Создаем загрузочную флешку с помощью UltraISO; Создание загрузочной флешки

Проблему с трояном, который требует от вас деньги можно решить, чего не скажешь о расшифровке зашифрованных им файлов. Прежде чем приступить к расшифровке файлов нужно определить, какой именно троян их зашифровал. Экспертами созданы утилиты, которые нужно попробовать. Это TeslaDecoder (поможет исправить вред причиненный трояном TeslaCrypt), Panda Ransomware DecryptKaspersky Ransomware Decryptor.

Если ваши файлы не зашифрованы, но операционная система не загружается, то загрузившись с Live диска с ОС можно попробовать восстановить файлы утилитами для восстановления данных: Recuva, TestDisc и другие. Они могут находить и восстанавливать уже удаленные файлы.

Рассмотрим некоторые программы для борьбы с программами-вымогателями:

Trend Micro Anti Ransomware

Trend Micro Anti Ransomware — программный продукт, предназначенный для борьбы с вирусными программами-вымогателями, которые блокируют рабочий стол. 

Программа доступна в виде двух файлов: 

Первый используется в случае если заблокирован вход в ОС в обычном режиме, но в безопасном режиме можно зайти на компьютер (скриншот сверху). 

Во втором случае на компьютер не выходит зайти ни в одном из режимов. В таком случае загружается другая версия продукта, запустив которую (на другом компьютере, конечно) появится окно для создания загрузочного носителя с которого нужно загрузиться и просканировать систему. 

Перейти на сайт Trend Micro Anti Ransomware для загрузки

Cybereason RansomFree

Cybereason RansomFree — бесплатная программа для компьютеров под управлением ОС Windows, которая защитит от программ шифровальщиков. Для обнаружения троянов-шифровальщиков данное решение использует поведенческий анализ вместо сигнатурных обнаружений. Как только произойдет шифрования файлов RansomFree предложит пользователю разрешить его или остановить и удалить источник шифрования. Тестирования показали, что программа эффективна против 99 процентов шифровальщиков и включает такие трояны как Locky, Cryptowall, TeslaCrypt, Jigsaw, Cerber и другие. Данная разработка сможет защитить даже от еще неизвестных троянских программ, поскольку они скорее всего будут использовать схожие методы шифрования.

Решение бесплатное для использования и может работать вместе с основным антивирусом. 

Перейти на сайт Cybereason RansomFree для згрузки (ссылка не работает)

Malwarebytes Anti-Ransomware

Malwarebytes Anti-Ransomware  — бесплатное решение для защиты от программ-вымогателей (CryptoLocker, CryptoWall или CTBLocker). Программа использует проактивные технологии и совместима с уже установленным антивирусом. Данный продукт, используя мониторинг системы с целью поиска программ-вымогателей способен остановить угрозу еще до того как она начнет менять пользовательские файлы. Программа имеет за результатам тестов высокую эффективность и способна находить самые новые версии программ-вымогателей, даже те, которые еще не встречались.  

Перейти на сайт Malwarebytes Anti-Ransomware для загрузки

CryptoPrevent Malware Prevention

CryptoPrevent Malware Prevention — имеет бесплатную и премиум версию и предназначена для защиты компьютера от шифровальщиков, троянов-вымогателей и другого вредоносного программного обеспечения, которое шифрует данные и требует выкуп за расшифровку. В программе используются проактивные технологии и искусственно создаются и реализуются объекты групповой политики, которые будут блокировать запуск определенных программ. Можно заносить файлы с определенным расширением в белые списки, например EXE-файлы, которые находятся в папках% appdata% /% localappdata% и подкаталогах первого уровня. 

Программа имеет модуль Filter Module, который может проводить фильтрацию определенных исполняемых файлов на основе хэш-сигнатур, а также других критериев, включающих в себя набор сложных правил. Пользователь может выбирать возможность запуска определенной программы. 

Премиум версия предоставляет возможность обновления сигнатур, возможность создавать собственные сигнатуры на основе хэш-сумм для компонента Filter Module, новый ежедневный планировщик для обновления программы и многое другое. 

Перейти на сайт CryptoPrevent Malware Prevention для загрузки

Kaspersky Anti-Ransomware Tool for Business

Kaspersky Anti-Ransomware Tool for Business — бесплатная программа для борьбы с шифровальщики, которые требуют выкуп за расшифровку файлов. Данный продукт разработан лабораторией Касперского. Используя передовые технологии (Kaspersky Security Network и «Мониторинг активности») Kaspersky Anti-Ransomware Tool быстро определяет троянские и вирусные программы и блокирует их, а также дает возможность выполнить откат опасных изменений, которые произошли в системе. Для анализа используются облачные технологии, которые обеспечивают быстрое реагирование на неизвестные угрозы.    

Служба Kaspersky Security Network позволяет для разработчиков лаборатории Касперского собирать статистику и обеспечивает быстрое реагирование на появление новых угроз. 

Как только Kaspersky Anti-Ransomware Tool for Business обнаружит угрозу, то она моментально будет заблокирована и добавлена в список заблокированных приложений. Но за время, необходимое для выявления угрозы вредоносная программа может успеть зашифровать часть данных. Вот почему Kaspersky Anti-Ransomware Tool сохраняет историю активности приложений и может откатить систему к предыдущему «нормальному» состоянию.

Все обнаруженные и заблокированные программы отправляются в специальное хранилище, откуда они могут быть восстановлены специалистами лаборатории Касперского. Если возникнет необходимость восстановить файлы из хранилища нужно обратиться за помощью на форум лаборатории Касперского. 

Перейти на сайт Kaspersky Anti-Ransomware Tool for Business для загрузки

IObit MBR Guard

IObit MBR Guard — программа от китайских разработчиков, призвана бороться с шифровальщиками,которые направленные на MBR (атаки типа GoldenEye или Petya). Область MBR это главная загрузочная запись, которая размещена в начале устройств для хранения информации, таких как жесткие диски и съемные носители данных. MBR нужна для загрузки операционной системы. Когда происходит вирусная атака, которая нацелена на MBR ваш компьютер перестанет загружаться. Именно для борьбы с этой проблемой и создано данное программное обеспечение.

Перейти на форум IObit MBR Guard для загрузки

360 Document Protector

360 Document Protector — программное обеспечение от известной китайской компании, которое призвано защитить пользователей от шифровальщиков путем отслеживания и автоматического резервного копирования файлов документов, которые изменяются. 

Таким образом программа в режиме реального времени будет отслеживать и сохранять резервные копии важных файлов и документов после каждого изменения. Так что в результате атаки не нужно будет платить выкуп за данные, поскольку их копии будут находиться в безопасности.  

360 Document Protector создаст резервные копии только тех документов, которые открывались, изменялись и сохранялись после установки утилиты. Если нужно создать резервные копии файлов, которые были созданы или изменены до установки 360 Document Protector, то выполните это вручную

Программа по умолчанию резервирует файлы размером до 100 мегабайт следующих расширений: *.doc, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.pdf. Копии хранятся в течение 30 дней. При необходимости можно добавить свои расширения и увеличить размер файлов для резервирования, а также снять ограничения на срок хранения. Программа дополнительно включает иструмент для дешифровки файлов — CrySiS Decryptor.  

Перейти на сайт 360 Document Protector для загрузки

ZoneAlarm Anti-Ransomware

ZoneAlarm Anti-Ransomware — программное обеспечение, которое предоставляет проактивную 0-day защиту от шифровальщиков и восстанавливает данные после атаки. По словам разработчиков обеспечивает надежную защиту от известного трояна-вымогателя — WannaCry, а также NotPetya. 

Программа автоматически восстанавливает файлы, имеет встроенную защиту от перезаписи и автоматически восстанавливает любые зашифрованные файлы. Решение способно находить и блокировать даже неизвестные программы-шифровальщики, предупреждает любые попытки зашифровать ваш компьютер. 

* Важно: для инсталляции пробной версии на 30 дней требуется регистрация аккаунта с указанием данных банковской карты или аккаунта Paypal. Отмените подписку в личном кабинете, чтобы средства не были автоматически списаны после окончания пробного периода.

ZoneAlarm команда профессионалов, которая обеспечивает пользователей надежной защитой уже более 10 лет.

Перейти на сайт ZoneAlarm Anti-Ransomware для загрузки

Abelssoft AntiRansomware

Abelssoft AntiRansomware — платная программа для защиты от программ-вымогателей, которая отслеживает активность угроз в режиме реального времени. Программа работает в фоновом режиме и при нарушении безопасности вы получите уведомление на свой адрес электронной почты. По словам разработчиков программа имеет особый алгоритм сканирования, который может распознать деятельность практически любого вымогателя в вашей системе. При обнаружении зловреда запускается процедура для остановки вредоносного кода и отсылаются инструкции для следующих действий, которые помогут сохранить данные и удалить трояна.

Перейти на сайт програми Abelssoft AntiRansomware для загрузки

NoMoreCry Tool

NoMoreCry Tool — бесплатный инструмент, который защитит от известного шифровальщика-вымогателя WannaCry 2.0 (WannaCryptor, WanaDecryptor). Обратите внимание, что данная программа не предназначена для удаления данного типа вируса, она создает на компьютере алгоритм, который делает работу WannaCry 2.0 при попадании в систему невозможной. Для надежной защиты программа должна запускаться при каждой загрузке системы. Для автоматизации данного процесса нужно ее добавить в автозагрузку.

Принцип работы: для заражения системы WannaCry 2.0 создает несколько файлов перед началом своего запуска. В случае невозможности получения определенного дескриптора для некоторых из данных файлов вредоносная программа Wana Decryptor завершает свою работу без заражения компьютера.
Сценарий программы NoMoreCry Tool создает пустой файл с таким же именем как один из файлов, что создает вирус. Данный файл не имеет никаких разрешений и размещён в середине нескольких папок. Данный сценарий может остановить работу шифровальщика только в том случае если он запустится в одной из папок, которая включена в bat-скрипт. При желании можно добавить больше папок в bat-скрипт. Сделать это можно на странице загрузки программы.

Перейти на сайт NoMoreCry Tool для загрузки (ссылка не работает)

WinPatrol WAR

Ранее программа WinPatrol WAR называлась WinAntiRansom но суть действия от названия не меняется. Программное обеспечение следит за активностью установленных программ и блокирует любое подозрительное действие с их стороны. Поэтому угрозы будут заблокированы еще до того как смогут нанести вред для ваших данных.

Принцип работы программы сводится к созданию списка программ, которые могут запускаться на компьютере. После первоначальной настройки, которая включает в себя формирование «белого» списка программ, запуск другого софта, который не входит в данный список станет невозможным. В белый список можно добавлять ключи реестра. В отдельных вкладках отображается сетевая активность и история доступа.

Создавать список несложно. Системные приложения добавлены в белый список по умолчанию, остается добавить только сторонние. При клике на элемент списка откроется меню, в котором можно выбрать определенные параметры, например просмотреть подробную информацию об объекте, удалить его или проверить на вредоносность, используя сервис VirusTotal.

Следует иметь в виду, что продукт не заменяет антивирусной программы, а только дополняет. Программа имеет подробную справку о том, как избежать заражения программами-вымогателями.

Перейти на сайт WinPatrol WAR для загрузки (ссылка не работает)

K7 Ransomware Scanner

K7 Ransomware Scanner — бесплатный антивирусный сканер для борьбы с программами-шпионами, программами-вымогателями, вроде WannaCry и других. Программа не будет конфликтовать с основным антивирусом, и поэтому может быть открыта для сканирования системы с целью поиска вредоносных программ, которые мог пропустить ваш антивирус. Сканер не требует установки и может быть загружен с USB носителя.

Поддерживаются следующие режимы сканирования:

  • Complete Scan, включающее полное сканирование всех файлов компьютера;
  • Quick Scan — метод проверки, включающий в себя сканирование автозагрузки и других уязвимых зон операционной системы;
  • Custom Scan — выборочное сканирование дисков или папок.

Перейти на сайт программы K7 Ransomware Scanner  для загрузки

GridinSoft Anti-Ransomware

GridinSoft Anti-Ransomware — решение для защиты от программ-шифровальщиков, которые для расшифровки файлов требуют деньги. Программа предоставляет защиту в реальном времени и предотвращает попытки зашифровать файлы. В последнее время все большее количество атак осуществляется именно программами, которые в конечном итоге требуют выкуп за расшифровку зашифрованной информации. Восстановить зашифрованные данные во многих случаях практически невозможно, а поэтому одним из решений может быть переустановка операционной системы с потерей данных или попытка заплатить выкуп. Но лучше таких ситуаций просто не допускать, установив одну из утилит для предупреждения шифрования, такую как GridinSoft Anti-Ransomware. Программа работает в фоновом режиме, а запустить ее можно, нажав на иконку в трее.

Перейти на сайт программы GridinSoft Anti-Ransomware для загрузки

Bitdefender Anti-Ransomware Tool

Bitdefender Anti-Ransomware Tool — простой в использовании и бесплатный инструмент для защиты от троянских программ следующего поколения, таких как CTB-Locker, Locky, Petya и TeslaCrypt.

Не платите выкуп за расшифровку файлов, а еще лучше не допускайте таких ситуаций, установив на компьютер Bitdefender Anti-Ransomware Tool.

Обратите внимание, что данный инструмент действует в качестве вакцинации и не обеспечивает защиту в реальном времени от опасностей нулевого дня, поэтому используйте данное программное обеспечение в качестве дополнительного, а для надежной защиты установите антивирус с хорошей репутацией.

Перейти на сайт программы Bitdefender Anti-Ransomware Tool  для загрузки

Действия при уже зараженном компьютере. Программы для расшифровки зашифрованных троянскими программами файлов.

Kaspersky RakhniDecryptor

Kaspersky RakhniDecryptor — специализированное программное обеспечение для расшифровки файлов, которые были зашифрованы вредоносной программой Trojan-Ransom.Win32.Rakhni. Данной утилитой можно расшифровать файлы с расширением locked и .kraken. Если вы столкнулись с такой проблемой, то загрузите программу с официального сайта и запустите файл rakhnidecryptor.exe, после чего следуйте указаниям. Все открытые документы перед проверкой данной программой должны быть сохранены. Утилита поможет расшифровать файлы, которые были зашифрованы троянами-вымогателями, такими как:

  • Trojan-Ransom.Win32.Rakhni;
  • Trojan-Ransom.Win32.Agent.iih;
  • Trojan-Ransom.Win32.Autoit;
  • Trojan-Ransom.Win32.Aura;
  • Trojan-Ransom.AndroidOS.Pletor;
  • Trojan-Ransom.Win32.Rotor;
  • Trojan-Ransom.Win32.Lamer;
  • Trojan-Ransom.Win32.Cryptokluchen;
  • Trojan-Ransom.Win32.Democry;
  • Trojan-Ransom.Win32.Bitman версії 3 и 4;
  • Trojan-Ransom.Win32.Libra;
  • Trojan-Ransom.MSIL.Lobzik;
  • Trojan-Ransom.MSIL.Lortok;
  • Trojan-Ransom.Win32.Chimera;
  • Trojan-Ransom.Win32.CryFile;
  • Trojan-Ransom.Win32.Nemchig;
  • Trojan-Ransom.Win32.Mircop;
  • Trojan-Ransom.Win32.Mor;
  • Trojan-Ransom.Win32.Crusis;
  • Trojan-Ransom.Win32.AecHu;
  • Trojan-Ransom.Win32.Jaff.

Перейти на сайт программы Kaspersky RakhniDecryptor для загрузки

Kaspersky WildfireDecryptor

Лабораторией Касперского выпущена утилита Kaspersky WildfireDecryptor, которая призвана разблокировать файлы с расширением wflx. Такое расширение имеют файлы, которые были заблокированы трояном WildFire Locker. Этот троян распространяется через электронные письма, которые имеют заголовки, которые вызывают доверие. И ничего не подозревающий пользователь загружает и запускает файл, который содержится в письме. Так троянская программа попадает на компьютер.
Целью троянской программы являются офисные документы и файлы формата PDF. Документы шифруются алгоритмами RSA или AES-256, а их расширение меняется на WFLX и открыть, как понятно, их больше нельзя. Восстановить файлы, используя точки восстановления системы не получится, потому что троянская программа удаляет все копии теневых томов на компьютере.

Основная задача утилиты от лаборатории Касперского — это нахождение ключа шифрования для файлов, которые были заражены WildFire Locker. Нужно указать путь к хотя бы к одному зараженному файлу и сделать копию всех документов перед началом восстановления.

Если заражение пошло за пределы компьютера, то программа способна просканировать и определить зараженные объекты на съемных носителях информации, а также на сетевых разделах. В случае успешной расшифровки файлов можно в настройках указать опцию для удаления инфицированных файлов.

Обязательно нужно удалить исполняемый файл WildFire Locker, который размещается в папке %LocalAppData%.

Перейти на сайт программы Kaspersky WildfireDecryptor для загрузки

Kaspersky RannohDecryptor

Kaspersky RannohDecryptor — следующая утилита от Касперского, которая может попытаться расшифровать файлы, которые были зашифрованы троянами и вымогателями после заражения системы, такими как Polyglot, Rannoh, AutoIt, Fury, Crybola, Cryakl, CryptXXX.

Если на компьютер попадает один из вышеперечисленных вирусов, то файлы будут зашифрованы следующим образом:
При заражении Trojan-Ransom.Win32.Rannoh имена и расширения изменятся по шаблону locked-<оригинальное_имя>.<4 произвольных буквы>.

При заражении Trojan-Ransom.Win32.Cryakl в конец содержимого файлов добавляется метка {CRYPTENDBLACKDC}.

При заражении Trojan-Ransom.Win32.AutoIt расширение изменяется по шаблону <оригинальное_имя>@<почтовый_домен>_.<набор_символов>. Например, ioblomov@india.com_.RZWDTDIC.

При заражении Trojan-Ransom.Win32.CryptXXX расширение изменяется по шаблонам <оригинальное_имя>.crypt, <оригинальное_имя>.crypz и <оригинальное_имя>.cryp1.

Kaspersky RannohDecryptor предназначен для расшифровки файлов, которые были зашифрованы следующим троянскими программами: Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl или Trojan-Ransom.Win32.CryptXXX версий 1, 2 и 3.

Ключ для расшифровки программа попытается найти автоматически. В случае неудачи понадобится копия хотя бы одного оригинального зашифрованного файла. Остальные файлы будут найдены и расшифрованы автоматически.

Перед расшифровкой файлов нужно выполнить сохранение всех открытых документов для предупреждения потери данных. Далее открываем утилиту, нажимаем «Начать проверку» и указываем путь к зашифрованному файлу. Когда работа программы будет завершена, то нужно перезагрузить компьютер. Все зашифрованные файлы утилита сохраняет в виде копий locked-<оригинальное имя>.<4 случайных буквы>. Если расшифровка была успешной, то зашифрованные файлы можно удалить. Для этого нужно зайти в меню «Изменить параметры проверки → Дополнительные опции → Удалять зашифрованные файлы после успешной расшифровки.»

Перейти на сайт программы Kaspersky RannohDecryptor для загрузки

Trend Micro Ransomware File Decryptor

Trend Micro Ransomware File Decryptor — продукт от японских разработчиков для расшифровки файлов, которые были зашифрованы различными программами-шифровальщиками.

Чтобы правильно работать с программой нужно точно знать, каким шифровальщиком зашифрованы файлы (об этом написано в начале статьи). После этого в меню программы нужно указать название шифровальщика и выбрать файл или папку с файлами, которые нужно расшифровывать.

Альтернативно можно выбрать опцию «I do not know the ransomware name» и просто указать зашифрованные файлы или папки. Тогда программа сама попытается идентифицировать шифровальщика путем анализа зашифрованного файла.
В процессе работы могут возникнуть трудности, такие как невозможность полной расшифровки данных. Но в программе имеются гиперссылки, которые помогут решить проблемы прочитав дополнительную информацию, а также видеоинструкции. Все это поможет быстрее получить информацию в конкретном случае и подсказки для удаления вымогателей.

Используя программу Trend Micro Ransomware File Decryptor вы можете попробовать расшифровать файлы, которые зашифрованы следующими шифровальщиками:

  • CryptXXX V1, V2, V3*: {original file name}.crypt, cryp1, crypz, or 5 hexadecimal characters
  • CryptXXX V4, V5: {MD5 Hash}.5 hexadecimal characters
  • TeslaCrypt V1**: {original file name}.ECC
  • TeslaCrypt V2**: {original file name}.VVV, CCC, ZZZ, AAA, ABC, XYZ
  • TeslaCrypt V3: {original file name}.XXX or TTT or MP3 or MICRO
  • TeslaCrypt V4: File name and extension are unchanged
  • SNSLocker: {Original file name}.RSNSLocked
  • AutoLocky: {Original file name}.locky
  • BadBlock: {Original file name}
  • 777: {Original file name}.777
  • XORIST: {Original file name}.xorist or random extension
  • XORBAT: {Original file name}.crypted
  • CERBER V1: {10 random characters}.cerber
  • Stampado: {Original file name}.locked
  • Nemucod: {Original file name}.crypted
  • Chimera: {Original file name}.crypt
  • LECHIFFRE: {Original file name}.LeChiffre
  • MirCop: Lock.{Original file name}
  • Jigsaw: {Original file name}.random extension
  • Globe/Purge V1: {Original file name}.purge
  • Globe/Purge V2: {Original file name}.{email address + random characters}
  • Globe/Purge V3: Extension not fixed or file name encrypted
  • DXXD V1: {Original file name}.{Original extension}dxxd
  • Teamxrat/Xpan V2: {Original filename}.__xratteamLucked
  • Crysis: .{id}.{email address}.xtbl, .{id}.{email address}.crypt, .{id}.{email addres}.dharma, .{id}.{email address}.wallet
  • TeleCrypt: {Original file name}
  • DemoTool: .demoadc
  • WannaCry (WCRY)***: {Original file name}.WNCR
  • Petya

Имейте в виду, что программа:

Может лишь частично расшифровать файлы;

Нужно будет обратиться в службу технической поддержки Trend Micro, чтобы попросить отдельный инструмент TeslacryptDecryptor 1.0.xxxx MUI для файлов TeslaCrypt V1 и V2. Они оба поддерживают V3 и V4.;

Данный инструмент будет в первую очередь полезным для системных администраторов, IT-профессионалов и технических специалистов, поскольку содержит набор дешифраторов и поможет бороться с шифровальщиками и их последствиями.

Перейти на сайт программы Trend Micro Ransomware File Decryptor для загрузки

Kaspersky XoristDecryptor

Для борьбы с вредоносными программами, которые относятся к семейству Trojan-Ransom.Win32.Xorist, Trojan-Ransom.MSIL.Vandev специалистами лаборатории Касперского была создана утилита XoristDecryptor.

Вредоносная программа из семейства Trojan-Ransom.Win32.Xorist при попадании на компьютер жертвы делает модификацию данных таким образом, чтобы сделать невозможной работу с ними. Также она может блокировать нормальную работу компьютера.

Следующим этапом после блокировки является требование выкупа за расшифровку всех зашифрованных файлов. За выкуп, который пользователь должен выплатить злоумышленники обещают выслать специальную утилиту, которая разблокирует все файлы и сделает нормальным функционирование компьютера.

Данная троянская программа шифрует файлы со следующими расширениями:
doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.

Для расшифровки файлов нужно загрузить и запустить утилиту Kaspersky XoristDecryptor. После чего нажать «Начать проверку».

Для расшифровки фалов нужно указать для программы путь хотя бы до к одному зараженному файлу. После работы программы может потребоваться перезагрузка.

Перейти на сайт программы Kaspersky XoristDecryptor для загрузки

RectorDecryptor

Утилита RectorDecryptor создана для расшифровки файлов, которые были зашифрованы трояном Trojan-Ransom.Win32.Rector. Конечно, за расшифровку файлов злоумышленник будет требовать выкуп в замен на утилиту для расшифровки.

Данный троян шифрует данные с расширением .jpg, .doc, .pdf, .rar.

Чтобы расшифровать файлы нужно загрузить и запустить программу RectorDecryptor. Обратите внимание на то, что утилита предназначена для определенной ОС. То есть, для операционной Windows 7 нужно загружать отдельную версию программы, на Windows 8 другую и так далее. Все подробно можно прочитать на официальной странице утилиты. После загрузки и запуска нажимаем «Начать проверку», после чего программа приступит к поиску и расшифровке файлов, которые были зашифрованы. Для удаления зашифрованных файлов после успешной расшифровки нужно выбрать соответствующую опцию в меню программы (Удалять зашифрованные файлы после успешной расшифровки).

Свой отчет о работе по умолчанию утилита сохраняет в корень диска, на котором установлена операционная система (обычно это диск С:\). Имя отчета выглядит: ИмяУтилиты.Версия_Дата_Час_log.txt. Например: C:\RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt.

Перейти на сайт программы RectorDecryptor для загрузки

TeslaDecoder

TeslaDecoder — расшифрует файлы, которые были зашифрованы троянской программой TeslaCrypt 3.x и 4.x. Такие файлы имеют расширение .micro, .xxx, .ttt, .mp3, а также зашифрованные файлы, которые не были переименованы.

После запуска TeslaDecoder попытается извлечь ключ дешифрования. Если операция пройдет успешно, то это позволит расшифровать файлы из папки или все файлы на компьютере. В противном случае процесс расшифровки может закончиться неудачей. Для более детальной информации нужно почитать справку на официальном сайте компании и действия, которые необходимо выполнить для успешной расшифровки файлов.

Перейти на сайт программы TeslaDecoder для загрузки

Дешифраторы от компании Avast

Полностью бесплатно предлагает свои утилиты для расшифровки данных компания Avast, специализирующаяся на антивирусном программном обеспечении. Не буду описывать каждый дешифратор отдельно. Предлагаю посмотреть список программ, которые требуют выкуп за зашифрованные файлы:

  • Alcatraz Locker
  • Apocalypse
  • BadBlock
  • Bart
  • Crypt888
  • CryptoMix (автономная версия)
  • CrySiS
  • Globe
  • HiddenTear
  • Jigsaw
  • Legion
  • NoobCrypt
  • Stampado
  • SZFLocker
  • TeslaCrypt

Если вы столкнулись с одной из таких программ, то перейдите на сайт компании Avast и загрузите соответствующий дешифратор абсолютно бесплатно.

Перейти на сайт компании Avast для загрузки

No More Ransom

Для определения типа вредоносной программы и для борьбы с последствиями ее деятельности можно воспользоваться онлайн ресурсами. Одним из таких ресурсов является No More Ransom. Данный сервис поможет расшифровать документы, фото, базы данных и другую информацию, которая подверглась атаке одной из троянских программ. Также на сайте можно получить помощь и информацию, которая поможет избежать подобных ситуаций в будущем.  

Если вы пострадали от подобной программы, то перейдя на страницу сервиса нажмите на кнопку «Да». Откроется страница, которая поможет определить тип шифровальщика. Для этого нужно загрузить зашифрованные файлы (размер каждого файла не должен превышать 1 мегабайта).

В другое окно нужно ввести адрес электронной почты, сайта, onion-домена, Bitcoin-адрес. Их можно увидеть в сообщении, которое требует выкуп. Или просто можно загрузить файл с расширением .txt или .html, которые оставили преступники для вымогательства выкупа. После всех действий нажимаем «Проверить».

После анализа при наличии дескриптора будет показана ссылка для загрузки утилиты, которая поможет расшифровать файлы.

Вообще это один из лучших ресурсов в сети для решения проблем с зашифрованными файлами.

Перейти на сайт No More Ransom

Несколько советов:

  • Основным виновником при попадании троянской программы на компьютер обычно является сам пользователь. Будьте бдительны;
  • Не загружайте и не открывайте файлы от неизвестных отправителей;
  • Не экономное на защите. Помните, что надежный антивирусный пакет включает все необходимое для полной защиты вашего компьютера и не требует дополнительных программ для предупреждения заражением тем или иным трояном. Поэтому лучше раз потратиться на хорошую программу, чем потом платить в разы больше за расшифровку данных и неделями сидеть в поисках решения проблем;
  • Не платите выкуп для злоумышленников. Так вы для них оплачиваете труд и вдохновляете на создание новых вирусов;
  • Не удаляйте зашифрованные файлы, возможно их удастся расшифровать;
  • Лицензионное антивирусное программное обеспечение нужно покупать в надежных источниках, чтобы не получилось наоборот — покупали антивирус, а купили троянскую программу;

Еще в завершение хочется вспомнить программу Adguard,которая не просто блокирует рекламу, а также не пускает на сайты с плохой репутацией, которые скорее всего участвуют в распространении троянских и других вредоносных программ. Это одна из программ, которую я устанавливаю на своем компьютере.

Пишем в комментариях, делимся опытом и задаем вопросы.